Bagaimana Memastikan Situs WordPress Anda Aman?


Dua atau tiga dekade lalu, perampokan hanya sebatas membobol untuk mencuri uang atau barang berharga seseorang. Akan pembuat kerusakan dan perampok hari ini, mengambil bentuk hacker. Siapa pun yang menemukan dan mengeksploitasi kerentanan perangkat lunak untuk keuntungan pribadi atau alasan politik.

Sebelum saya mulai, Anda harus tahu artikel ini tidak membahas seluk beluk keamanan WP tetapi membahas penyebab kerentanan WordPress. Jika bukan itu yang Anda cari, saya sarankan Anda membaca – “Panduan Lengkap Untuk Mengamankan Situs WordPress“. Meskipun, saya harus menyatakan bahwa memahami sifat kerentanan WP di masa lalu, memberikan wawasan yang bagus tentang bagaimana Anda dapat memastikan protokol keamanan situs web Anda.

Mengapa orang membobol situs web dan pusat data? Membobol situs web yang menyimpan informasi klien, ID email, nomor kartu kredit, dll lebih menguntungkan daripada merampok bank. Jika Anda menjalankan situs web yang cukup berhasil, saya yakin ratusan, bahkan ribuan upaya untuk mengakses informasi situs web Anda telah dilakukan.

Baru-baru ini, AshleyMadison.com diretas dan rincian 37 juta pengguna telah dicuri. Para peretas telah menuntut agar situs tersebut ditutup, jika gagal mereka akan merilis rincian informasi pengguna yang dicuri termasuk fantasi seksual. Ini memberi Anda gambaran tentang jenis kehancuran yang dapat disebabkan oleh peretas hanya dengan mendapatkan akses ke informasi.

Keamanan web adalah topik yang sangat penting dan semakin relevan mengingat jumlah situs web yang bermunculan untuk mengumpulkan informasi pribadi penggunanya.

Sebanyak 65% dari web berjalan dengan WordPress sebagai Sistem Manajemen Konten, jadi hari ini saya akan membahas keamanan WordPress dan bagaimana situs WP telah ditargetkan atau diretas di masa lalu.

Mengapa Berinvestasi Dalam Praktik Keamanan yang Baik?

  • Anda berutang kepada pelanggan dan klien Anda yang mempercayai Anda dengan informasi pribadi yang sensitif untuk menjaganya tetap aman.
  • Situs Anda diretas – Anda kehilangan uang.
  • Situs Anda diretas – Peringkat mesin pencari Anda hampir sekali jalan ke neraka.

Situs web WordPress diretas oleh ribuan, jika bukan ratusan ribu. Tidak setiap situs web melaporkan bahwa mereka telah diretas di masa lalu. Ini bukan dukungan yang bagus untuk merek mereka seperti yang Anda duga.

Saya ingin menyoroti perlunya artikel tentang keamanan WordPress ini.

Menurut sebuah penelitian, seperti yang dibagikan oleh Sandro Gucci (Pendiri Enable Security).

  • 73,2% dari instalasi WordPress paling populer rentan terhadap kerentanan yang dapat dideteksi menggunakan alat otomatis gratis.
  • Hanya 7.814 website (18.55%) yang diupgrade ke WordPress 3.6.1, ini adalah WP versi terbaru saat pengujian dilakukan.
  • 13.034 situs web (30,95%) masih menjalankan versi WordPress yang rentan, versi 3.6. WordPress 3.6 memiliki 5 kerentanan yang diketahui saat itu.

Dan jika Anda bertanya-tanya, nah ini hanya beberapa karakterisasi umum yang tidak adil dari situs web kecil yang tidak dikenal di suatu tempat di web gelap, Anda akan salah. Statistik tersebut dibuat berdasarkan studi terhadap sekitar 42.000 situs WordPress di situs Alexa’s Top One Million. Itu adalah sejumlah besar situs web yang rentan untuk dianggap sebagai situs web yang paling banyak dikunjungi di web. Situs web ini mengumpulkan sejumlah besar informasi tentang pengunjung dan pelanggan mereka.

Statistik itu benar karena pada September 2013, saya tidak berpikir itu akan menyimpang jauh sejak itu dan bahkan jika demikian, statistik yang ditampilkan di sini menunjukkan skala masalah keamanan yang mengganggu WordPress.

Jika Anda ingin lebih banyak bukti yang membuktikan bahwa WordPress dapat disusupi. Saya merujuk Anda ke sebuah studi oleh Netcraft,

  • Pada Februari 2014, ada 12.000 blog WordPress yang berfungsi sebagai platform untuk situs phishing.
  • Lebih dari 8% dari semua URL malware yang diblokir oleh Netcraft untuk mendistribusikan malware yang dihosting web adalah blog WordPress.

Saya harus menunjukkan bahwa tidak satu pun dari blog itu dijalankan di Automattic wordpress.com. Ini harus cukup jelas menggambarkan bahwa bahkan WordPress bisa rentan jika tidak digunakan dengan hati-hati dan pengetahuan tentang keamanan WP. Alasan lain untuk ini mungkin terkait dengan fakta bahwa semua blog yang dihosting di wordpress.com diperbarui segera setelah pembaruan WordPress dirilis. Sejak itu, perlu dicatat bahwa pembaruan WordPress otomatis diperkenalkan di WP versi 3.7 untuk melindungi situs web dari eksploitasi zero-day.

Dan bahkan setelah itu, ada sejumlah masalah keamanan yang mengganggu WordPress. Periksa daftar kerentanan WordPress ini dalam versi yang berbeda dari platform.

Sekarang tidak ada yang dapat Anda lakukan untuk mencegah hal ini terjadi, kerentanan baru hampir selalu ditemukan. Tim inti WP telah menangani keamanan dengan sangat serius dan membuat WordPress jauh lebih aman.

Tetapi seperti setiap perangkat lunak populer lainnya, mengeksploitasi kerentanan menjadi lebih menguntungkan ketika lebih banyak orang mulai menggunakannya.

Tidak percaya padaku? Jika Anda yakin bahwa entah bagaimana WordPress akan tiba-tiba menjadi bebas dari semua kerentanan, lihat grafik ini!

wordpress-kerentanan-selama bertahun-tahun

Sementara jumlah kerentanan telah menurun dari waktu ke waktu dari tertinggi pada tahun 2007 dan 2014, insentif untuk menemukan kerentanan baru dan mengeksploitasi terus meningkat mengingat meningkatnya profitabilitas karena meningkatnya popularitas WordPress.

WordPress mungkin aman di luar kotak, tetapi setelah menambahkan begitu banyak plugin/tema dan kode khusus, banyak kerentanan mulai tumbuh dengan sangat tergesa-gesa.

Meskipun demikian, kami dapat membuat perubahan kecil pada WordPress Anda, untuk membuatnya jauh lebih aman. Pertama kita perlu memiliki pemahaman menyeluruh tentang keamanan WordPress, ini sangat membantu dalam mencari tahu penyebab kegagalan dalam keamanan.

Anda mungkin terkejut mengetahui bahwa platform inti WP jarang melakukan kesalahan dalam kasus pelanggaran keamanan. Kemungkinan besar sesuatu yang Anda tambahkan ke WP Anda, menciptakan kerentanan yang mungkin dieksploitasi oleh peretas.

Bagaimana Situs WordPress Dikompromikan?

Kesulitan dengan memastikan keamanan lengkap adalah, tidak ada hal seperti itu.

Dengan asumsi WordPress Anda sepenuhnya aman, Anda masih memiliki Apache, klien FTP, MySQL, dan perangkat lunak apa pun yang berjalan di server Anda yang harus Anda khawatirkan. Situs web Anda hanya seaman tautan terlemahnya. Dan itu termasuk kualitas perangkat lunak host Anda, tema dan plugin yang dioperasikan situs web Anda.

Saya berharap saya memiliki statistik yang lebih baru, saya dapat mengarahkan Anda juga. Namun, penelitian ini disajikan sebagai infografis di blog WpWhiteSecurity memberikan wawasan yang bagus tentang bagaimana situs web WordPress diretas dan apa yang membuatnya rentan.

Kajian ini dilakukan berdasarkan informasi dari 170.000 website yang diretas pada tahun 2012. Jumlah peretasan meningkat 18% dari tahun sebelumnya (2012), lucunya jumlah kerentanan tidak meningkat dengan persentase yang sama. . Tetapi bahkan sedikit peningkatan kerentanan memengaruhi lebih banyak situs web, karena peningkatan penggunaan produk berbasis WordPress dan WordPress.

  • 41% situs WordPress diretas melalui kerentanan keamanan pada platform hosting mereka.
  • 29% diretas melalui masalah keamanan di Tema WordPress yang mereka gunakan.
  • 22% diretas melalui masalah keamanan di Plugin WordPress yang mereka gunakan.
  • 8% diretas karena mereka memiliki kata sandi yang lemah.
  • Dari penjelasan di atas, kita dapat menyimpulkan bahwa lebih dari 51% situs WordPress yang diretas diretas melalui kerentanan pada tema atau plugin WordPress yang mereka gunakan.

Sebagian besar peretasan terjadi karena menginstal perangkat lunak dalam bentuk plugin, tema, dan karena penyedia layanan hosting web gagal meningkatkan keamanan di ujung server.

Tidak ada gunanya membahas langkah-langkah untuk melindungi situs web Anda, sebelum membahas opsi bagus yang Anda miliki dalam hal keamanan terkait hosting, tema, dan plugin. Dan saya akan membahas bagaimana Anda dapat menemukan perangkat lunak pihak ketiga yang baik dan hosting yang aman untuk situs web Anda sebelum saya mulai merekomendasikan langkah-langkah keamanan khusus untuk memperkuat keamanan WP.

Kesimpulan

Situs web WordPress jarang rentan karena kesalahan dalam kode inti dari sistem manajemen konten. Tetapi sebuah situs web tidak beroperasi hanya berdasarkan sistem manajemen konten, itu membutuhkan host web untuk meng-host CMS di web, tema untuk membuatnya mewah dan plugin untuk menambahkan fungsi yang diperlukan. Menambahkan beberapa lapisan perangkat lunak pihak ketiga ke instalasi WordPress Anda membuat keamanan Anda sedikit keropos, jika tidak dilakukan dengan benar.

Inti WordPress Anda, plugin & tema, dan host web perlu berkomunikasi agar situs WordPress Anda tetap berjalan. Interaksi ini terkadang memiliki kekurangan, dan membuat situs web rentan.

Tentu 8% situs web dapat disusupi karena kata sandi yang lemah. Namun, sejumlah besar bukti menunjukkan bahwa menambahkan plugin/tema yang ditulis dengan buruk atau host web yang berjalan pada perangkat lunak usang adalah penyebab utama sebagian besar situs web WordPress diretas atau ditutup.

Sekarang kami telah menetapkan beberapa kejelasan mengenai penyebab kerentanan WordPress, sebagai bagian dari posting berikutnya dalam seri Keamanan WP, saya akan membahas langkah-langkah yang perlu Anda ambil untuk tingkatkan keamanan WordPress Anda.

Silakan bagikan detailnya jika situs WordPress Anda pernah diretas atau menjadi korban serangan DDOS. Saya akan mencoba untuk memperbaiki masalah jika itu dalam kekuatan kita. Salam

Beri tahu kami jika Anda menyukai postingan tersebut.



Source link

Leave a Reply

Your email address will not be published.

logo-whatsapp
1
error: